Կիբեռ աշխարհի մարտահրավերներ և ռիսկերի գնահատում

Բոլորիս առօրյա կյանքի անբաժան մասն է կազմում թվային միջավայրը, ինչի հետևանքով անընդհատ բախվում ենք տարատեսակ մարտահրավերների։ Դրանց դիմակայելու համար անհրաժեշտ է՝

ա) Լինել տեղեկացված։ Այսինքն՝ հետևել անվտանգությանը առնչվող բոլոր նախազգուշացումներին և թարմացումներին։

բ) Քայլեր ձեռնարկել ժամանակակից մարտահրավերները կանխելու համար։ Այսինքն՝ կիրառել ծրագրերի (App) կամ այլ աղբյուրների կողմից առաջարկվող խորհուրդները։ Օրինակ, եթե կիրառվեն թարմացումները ESXI լուծումների վրա, ապա կրիպտոգաղտնագրող վարակի կողմից իրականացվող ցանցի խոցելիության վտանգը կարող է նվազել։

Ազդանշաններ և ռիսկերի գնահատում

Գոյություն ունի կիբերանվտագության շրջանակ, որի սահմաներում մենք ծավալում ենք գործունեություն և ի վիճակի ենք լուծել ի հայտ եկող խնդիրները։ Օրինակ՝ սերվեր ծրագրավորող մասնագետի գործունեության շրջանակն ընդգրկում է սերվերի ֆունկցիոնալության կիրառումն ու հետագա ընդլայնումը, ինչպես նաև դրա անխափան աշխատանքի ապահովումը։ Իսկ DevOps մասնագետի գործունեության շրջանակն ընդգրկում է երթուղու (Router) ճիշտ կազմակերպումը, ծանրաբեռնվածության կարգավորումը, ենթակառուցվածքների միջև կապի ճիշտ իրականացումը և ցանցի ճարտարապետության իդեալական լուծումների ապահովումը։

Այս և այլ գործունեությունների շրջանակում ռիսկերը և դրանց գնահատման մոտեցումները տարբեր են․ ռիսկերը ձևավորվում են եկող ազդանշանների հիման վրա, իսկ գնահատումը իրականցվում է հետևյալ կարգավիճակներով՝

• Green (Կանաչ),
• Blue (Կապույտ),
• Yellow (Դեղին),
• Orange (Նարնջագույն),
• Red (Կարմիր)։

Green

Կանաչ ազդանշանը հաղորդում է այն մասին, որ չկա ոչ մի տարօրինակ ակտիվություն, գործողությունները կատարվում են ըստ ծրագրի։ Օրինակ՝ թարմացվում է հեշ (hash) շտեմարանը, օգտագործված պրոդուկտները և այլն:

Ցանկացած թվային օբյեկտից (փասթաթուղթ , նկար, ՕՀ պրոցես, ֆայլեր) կարելի ստանալ hash արժեք և, եթե հետագայում մենք փոխենք կամ խմբագրենք թվային օբյեկտը, ապա մեխանիկորեն կփոխվի նաև իր հեշ արժեքը։ Ինչ-որ օբյեկտի մեջ տարօրինակ վարք նկատելու դեպքում մեքենան պահում է այդ օբյեկտի հեշ արժեքը և հաջորդ անգամ նմանատիպ հեշ արժեքով օբյեկտի հանդիպելիս մեքենան ռեսուրսներ չի ծախսի այն ուսումնասիրելու համար, ինչպես նաև կնույնականացնի՝ որպես վնասակար օբյեկտ և կտեղեկացնի այդ մասին։ Այս օրինակով են աշխատում virustotal.com և բազմաթիվ այլ հակավիրուսային կայքեր։

Blue

Կապույտ ազդանշանը հաղորդում է այն մասին, որ ինչ֊որ ակտիվություն է նկատվում, սակայն չկա հստակ նկարագիր և տեղեկություն դրա մասին։ Ըստ նախնական տվյալների՝ նրա պատճառած վնասը փոքր է` չկա ֆայլերի կորուստ կամ ենթակառուցվածքների խափանում։

Սա համարվում է միջանկյալ ռիսկ, որը կարող է մնալ իր կարգավիճակում կամ արագ փոխել կարգավիճակը՝ դառնալով կարմիր։ Այս փուլի գործողությունները նման են նախորդին, սակայն անհրաժեշտ է ներառել նաև հավելյալ պահուստային կանխման գործողություններ ։

Այս փուլի օրինակ է հանդիսանում մի խմբավորման կողմից իրականացված հարձակումը ՀՀ-ի դեմ, ինչի արդյունքում նրանք կարողացել էին վիրուս տարածել ՀՀ տարածքում և հատկապես պետական համակարգում, քանի որ այն տեղադրել էին պետական կայքերում՝ օգտագործելով անհայտ էքսփլոյթներ*։ Վարակի սկզբնաղբյուր են հանդիսացել հետևյալ կայքերը՝ Armconsul[.]ru, Mnp.nkr[.]am։

https://www.welivesecurity.com/2020/03/12/tracking-turla-new-backdoor-armenian-watering-holes/

Yellow

Դեղին ազդնշանը հաղորդում է այն մասին, որ ինչ֊որ հայտնի էքսփլոյթի կամ բացթողման հիման վրա հարձակում է տեղի ունենում տարբեր համակարգերի վրա, որտեղ կա խոցելի տեղեկատվություն։ Այստեղ նույնպես պետք է կատարել վերոնշյալ բոլոր գործողությունները, թարմացնել ծրագրային ապահովումը և հետևել նախազգուշացումներին։

Օրինակ՝ FBI-ից կարող է նախազգուշացում գալ այն մասին, որ հարկավոր է ուշադրություն դարձնել SonarQube համակարգերին, քանի որ իրենց վրա լռելյայն դրված են ինչ֊որ ստատիկ արժեքներ և լայն տարածում է գտել տվյալ պրոդուկտների վրա հարձակումը։

Orange

Հաղորդում է այն մասին, որ ինչ֊որ հայտնի էքսփլոյթի, Zero day-ի կամ Backdoor-ի հիման վրա տեղի է ունենում հարձակում՝ տարբեր համակարգերի և ենթակառուցվածքների վրա, որտեղ ամեն ինչ խոցելի է և մի ծառայության խափանումը կարող է ազդել այլ ծառայությունների աշխատանքի վրա։ Այս դեպքում անհրաժեշտ է կրճատել խոցելի կետերի թողունակությունը, ստուգել միջցանցային վահանը (Firewall), օգտագործել նրա առաջնային պրոֆիլը, դադարեցնել կապը խոցելի կետի և արտաքին աշխարհի հետ։

Այս փուլի լավագույն օրինակներից է WannaCry կրիպտոգաղտնագրող վնասակար ծրագրի համաշխարհային հարձակում, որը կանխվեց հանկարծակի։

Red

Այս փուլում ռիսկը արդեն հասել է ենթակառուցվածք, ոչինչ չի աշխատում և խափանվել են նաև հաշիվները։ Այս դեպքում պետք է դադարեցնել կապը արտաքին աշխարհի կամ ցանցի հետ, մինչև պարզվի՝ ինչ է տեղի ունեցել։

*էքսփլոյթը ՝ պատահական գրված կոդի հատված կամ կոդերի հաջորդականություն , որի օգտագործումը կարող է առաջ բերել վնասակար հետևանքներ։

Հետևե՛ք CyHub Armenian -ի բլոգին՝ օնլայն տիրույթում առավել պաշտպանված լինելու համար:

Հեղինակ՝ Լևոն Իսաջանյան:

—

CyHub Armenia նախաձեռնությունն իրականացվում է «Ձեռնարկությունների ինկուբատոր» հիմնադրամի կողմից՝ Համաշխարհային բանկի, ՀՀ Կառավարության, ՀՀ բարձր տեխնոլոգիական արդյունաբերության նախարարության, ISTC-ի, CISCO-ի, IBM-ի, Հայաստանի ազգային պոլիտեխնիկական համալսարանի և ԵրՄՄԳՀԻ-ի աջակցությամբ։